Hallo zusammen,
ich frage für einen Freund! Versteht sich…
Ein Freund von mir arbeitet in einem KMU mit ~15 Angestellten. Bis vor 7 oder 8 Jahren wurden hier Kunden,- und Personaldaten im Klartext via E-Mail versendet. Wie das halt früher so üblich war.
Als die Probleme, welche daraus resultieren ins Bewusstsein getreten sind wurde erfolgreich PGP für interne E-Mail Kommunikation eingeführt. Das hat auch prima geklappt! Bis…
…der erste Schlüssel abgelaufen ist und man diesen erneuern musste. Damit waren die Mitarbeiter natürlich überfordert. Und natürlich ist das auch an einem Samstag aufgefallen und so mit wurde die PGP Kommunikation (vorübergehend) stillschweigend beendet. Bis wieder mal eine Lohnzettel im Klartext durch den Äther flog und mein Freund dem hinterher ging.
Da der Betrieb keine IT-Abteilung hat, kümmert sich mein Freund nun alle zwei Jahre um das erneuern und verwalten der Schlüssel. Die privaten Schlüssel werden dabei mit einem Passwort versehen in der Passwortdatenbank der Benutzers abgelegt und mein Kumpel rennt nun von PC zu PC… verlängert und veröffentlicht die Schlüssel… Soweit so gut.
Bei diesem Konstrukt fallen nun ein paar Schwachstellen auf, bei denen ich (äh mein Freund) gerne ein paar Ideen von Euch zur Lösung sammeln würde.
Fastoffbaording
Es passiert nicht oft, aber es kam nun vor dass ein Mitarbeiter schnell gehen musste. In diesem Fall war es nicht schlimm, aber was wenn der Mitarbeiter das Passwort zu seiner Passwortdatenbank nicht mehr raus rückt. Damit hätten wir keine Chance das Postfach nachträglich zu durchsuchen, weil wir keinen Zugriff zum privaten Schlüssel des Postfachs haben. (Es gibt eine Dienstansweisung dass das Postfach privat nicht genutzt werden darf und auch dass die Firma nach dem Offboarding Zugang zu den persönlichen Passwörtern erhält. Es dürfen keine privaten Zugänge eingerichtet werden)
Postfach der Geschäftsführung
Das oben genannte Problem führte da zu dass überlegt wurde die Schlüsselverwaltung komplett in die Hand des Mitarbeiters zu legen, sprich er hat alle privaten schlüssel und verteil diese nur an die jeweiligen Mitarbeiter. Dadurch hätte man zumindest die Hoheit über die Schlüssel zurück.
Aber das würde auch das Postfach der Geschäftsführung betreffen, was dem GF egal wäre (Hauptsache schön einfach) aber dem Mitarbeiter nicht gefällt.
Schlüsselveraltung nervig
Dazu kommt dass nun auch Office365 Accounts eingerichtet wurden. Und es nun Mitarbeiter gibt die von Thunderbird auf Outlook gewechselt sind oder gar beides nutzen. Nun wird die Schlüsselverwaltung wieder komplizierter da Thunderbird seine eigene Schlüsselverwaltung hat und Outlook Kleopatra verwendet.
Mitarbeiter genervt
Dazu kommt das man echt früh anfangen muss die Schlüssel zu erneuern, weil der Mitarbeiter just dann im Urlaub oder krank ist, wenn der Schlüssel abläuft, oder der Schlüssel unbemerkt abgelaufen ist. (noch mal zur Erinnerung, es gibt keine IT-Abteilung). Dann will der GF eine Mail schicken und es funktioniert wieder mal nicht, weil er den Dialog mit „Soll online nach einem aktualisiertem Schlüssel gesucht werden“ weg geklickt hat. Generell habe ich das Gefühl das Thema ist im Betrieb verbrannt, auch wenn allen klar ist was es bedeutet E-Mails im Klartext zu versenden und Probleme wirklich nur selten auftreten, wird mittlerweile nur noch bei tatsächlich sensiblen Daten verschlüsselt. (Wenn man dran denkt)
Mittlerweile ist man schon genervt wenn Outlook einmal täglich nach der Passphrase fragt.
Mitarbeiter finden E-Mails nicht
Auch Streitthema ist, dass man bei einer Suche in den E-Mails / im Archiv natürlich nicht nach Inhalten suchen kann (Ist ja verschlüsselt) Der Hinweis einen Aussagekräftigen Betreff zu wählen wird aber konsequent ignoriert.
Hilfe!!!
Wie löst Ihr das in eurem Betrieb, habt Ihr Vorschläge was man besser machen kann?
Ein Mail Gateway kommt nicht in Frage, weil das keiner Administrieren kann, oder eine Administration über dritte zu teuer für so ein nerviges Thema ist.
Ich würde gern zum einem die Akzeptanz von PGP erhöhen und die Administration einfacher gestalten.
Gruß
LinkZwoDreiVier!